Política de privacidad

Última actualización: 19 de mayo de 2026

1. Responsable del tratamiento

  • Responsable: Mackewinsson Palencia — NIF Z0706098A
  • Domicilio: Calle Alta de San Mateo 7, Málaga, España
  • Contacto privacidad: privacidad@simplefactu.com

2. Datos que tratamos

2.1. Cuenta de usuario (autenticación vía Clerk)

  • Nombre y apellidos.
  • Dirección de email.
  • Identificador interno asignado por Clerk.
  • Metadatos de sesión (IP, user-agent, fechas de inicio/cierre).

2.2. Datos del emisor y de sus clientes

  • NIF del emisor y de cada destinatario.
  • Razón social y nombre comercial.
  • Importes, base imponible, cuotas, conceptos.
  • Series y números de factura.
  • Certificado digital del emisor (cifrado AES-256-GCM antes de almacenarse; nunca se devuelve en texto claro).

2.3. Datos de facturación (Stripe)

  • Identificador del cliente Stripe y de las suscripciones activas.
  • Historial de pagos. No almacenamos números de tarjeta.

3. Finalidades y bases jurídicas

FinalidadBase jurídica (art. 6 RGPD)
Prestar el servicio de facturación electrónica con AEATEjecución de contrato (art. 6.1.b)
Cumplir obligaciones fiscales y de conservación documentalObligación legal (art. 6.1.c)
Cobro y gestión de la suscripciónEjecución de contrato (art. 6.1.b)
Atención de soporteEjecución de contrato y consentimiento (art. 6.1.b/a)
Mejora del servicio (telemetría agregada)Interés legítimo (art. 6.1.f) — siempre con datos no identificables

4. Plazos de conservación

  • Datos fiscales: 6 años (art. 30 Código de Comercio y art. 66–70 Ley 58/2003, LGT).
  • Datos de cuenta: mientras la cuenta esté activa y, tras la baja, durante 5 años (plazo general de prescripción civil).
  • Logs de acceso técnicos: 12 meses.

5. Encargados de tratamiento (subprocessors)

  • Clerk Inc. (autenticación) — datos en EE.UU., cláusulas contractuales tipo y certificación EU-US DPF.
  • Stripe Payments Europe Ltd. (cobros) — datos en UE / EE.UU.
  • Hetzner Online GmbH (alojamiento del servicio) — Alemania, UE.
  • Neon Inc. (base de datos del front) — EE.UU., cláusulas contractuales tipo.
  • GitHub Inc. (GHCR) (registro de imágenes Docker) — EE.UU.
  • Resend Inc. (envío de emails transaccionales) — EE.UU., cláusulas contractuales tipo.
  • Agencia Tributaria — destinatario obligatorio de los datos fiscales (Veri*Factu). No es encargado sino tercero por imposición legal.

6. Transferencias internacionales

Algunos encargados (Clerk, Neon, GitHub, Resend) están establecidos en EE.UU. Las transferencias se cubren con cláusulas contractuales tipo aprobadas por la Comisión Europea y, cuando aplica, certificación EU-US Data Privacy Framework.

7. Derechos del interesado

Puedes ejercer tus derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad escribiendo a privacidad@simplefactu.com, adjuntando copia del DNI o documento equivalente. Si consideras que el tratamiento no se ajusta a la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (aepd.es).

8. Medidas de seguridad

  • Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256-GCM para certificados digitales y claves API).
  • Control de acceso por API key con hash SHA-256 y scopes mínimos.
  • Backups diarios con retención escalonada.
  • Auditoría de accesos (audit_log) sobre operaciones sensibles.

9. Cookies

Simple*Factu utiliza únicamente cookies técnicas necesarias para mantener la sesión (Clerk) y procesar el pago (Stripe). No utiliza cookies de analítica ni publicitarias. Por ello no requiere banner de consentimiento conforme al art. 22.2 LSSI. Ver Política de cookies.